IT/ㄴ HPE & Juniper

[JN0-650] Ethernet Switching and Spanning Tree - Filter-based VLANs / Private VLANs

TIENE 2025. 12. 28. 15:00

 

Advanced Ethernet Switching

① Filter-based VLANs

1️⃣ 한 문장 정의

Filter-based VLAN은
포트가 아니라 “필터 조건”에 따라
트래픽을 VLAN에 매핑하는 방식이다.

핵심:

  • 포트 고정 VLAN ❌
  • 패킷 조건 기반 VLAN 결정 ⭕

2️⃣ 왜 쓰는가 (존재 이유)

일반 VLAN:

  • 포트 = VLAN
  • 단순하지만 유연성 없음

Filter-based VLAN:

  • 하나의 포트에서
  • 조건에 따라
  • 여러 VLAN으로 분기 가능

시험 문장:

  • “Multiple VLANs on a single access port based on traffic”
    Filter-based VLAN

3️⃣ 동작 원리 (중요)

Ingress에서:

  • Firewall filter 적용
  • 조건 매칭:
    • MAC
    • IP
    • Protocol
    • Port 등

매칭 결과로:

  • VLAN ID 재할당

즉:

Firewall filter + then vlan = Filter-based VLAN

4️⃣ Junos 관점 핵심 포인트

  • Stateless firewall filter 사용
  • L2 ingress에서 동작
  • VLAN tag를 논리적으로 결정

시험에서 자주 나오는 함정:

  • “Routing policy로 VLAN 분기” ❌
  • “CoS classifier로 VLAN 분기” ❌

5️⃣ 언제 쓰면 안 되나

  • 단순 액세스 포트
  • NAC / 802.1X 환경

시험에서는:

  • “Simplest VLAN separation”
    Port-based VLAN, filter-based 아님

6️⃣ 시나리오 사고 흐름 (시험용)

증상:

  • 같은 포트인데
  • 트래픽마다 VLAN 다름

점검 순서:

  1. Ingress filter 존재?
  2. Match 조건 정확?
  3. VLAN mapping 올바름?
  4. Default action 확인

7️⃣ 한 문장 요약 (시험용)

“Filter-based VLANs use ingress firewall filters to dynamically assign VLAN membership based on packet characteristics.”

Advanced Ethernet Switching

② Private VLANs (PVLAN)

1️⃣ 한 문장 정의

Private VLAN은
같은 VLAN 안에서
단말 간 통신을 선택적으로 제한하는 구조다.

핵심:

  • VLAN은 같음
  • 통신은 분리

2️⃣ 왜 필요한가

일반 VLAN 문제:

  • 같은 VLAN = 서로 통신 가능

하지만 현실:

  • 서버 팜
  • 호스팅
  • DMZ

요구:

  • Gateway는 접근 가능
  • 서로 간 통신은 차단

→ PVLAN

3️⃣ PVLAN 구성 요소 (이건 암기)

PVLAN에는 3가지 포트 타입이 있다.

1️⃣ Promiscuous Port

  • 모든 포트와 통신 가능
  • 보통 Gateway

2️⃣ Isolated Port

  • Promiscuous와만 통신
  • Isolated ↔ Isolated ❌

3️⃣ Community Port

  • 같은 Community 내 통신 ⭕
  • 다른 Community ❌

시험에서:

  • “Which port type allows communication with all others?”
    Promiscuous

4️⃣ PVLAN 구조 사고 방식

Primary VLAN 아래
Secondary VLAN들이 매달린 구조

  • Primary VLAN: 외부와 연결
  • Secondary VLAN:
    • Isolated
    • Community

5️⃣ Junos 기준 PVLAN 포인트

  • PVLAN은 L2 기능
  • 보통:
    • Access / Data center 환경
  • STP와 무관
  • Routing과 무관

시험 함정:

  • “Use PVLAN to separate broadcast domains”
    ❌ (VLAN 역할 아님)

6️⃣ PVLAN 시험 시나리오 패턴

패턴 1

  • 서버끼리 통신 안 됨
  • Gateway는 접근 가능

Isolated PVLAN 정상 동작

패턴 2

  • 같은 VLAN인데 일부만 통신 가능

Community PVLAN

7️⃣ 한 문장 요약 (시험용)

“Private VLANs allow selective isolation of devices within the same VLAN by using promiscuous, isolated, and community ports.”

이번 파트 요약 연결

  • Filter-based VLAN
    • VLAN 결정 = 필터 조건
    • Ingress 기반
  • Private VLAN
    • VLAN 동일
    • 통신만 분리

 

저작자표시 비영리 변경금지 (새창열림)

'IT > ㄴ HPE & Juniper' 카테고리의 다른 글

[JN0-650] Ethernet Switching and Spanning Tree - MSTP / VSTP & Given a scenario#1  (0) 2025.12.28
[JN0-650] Ethernet Switching and Spanning Tree - Dynamic VLAN registration using MVRP / Tunnel Layer 2 traffic through Ethernet networks  (0) 2025.12.28
[JN0-650] EVPN - Given a scenario  (0) 2025.12.28
[JN0-650] EVPN - Terms List  (0) 2025.12.28
[JN0-650] EVPN - Multi-homing  (1) 2025.12.28

'IT/ㄴ HPE & Juniper'의 다른글

  • 현재글[JN0-650] Ethernet Switching and Spanning Tree - Filter-based VLANs / Private VLANs

관련글

티스토리툴바